Microsoft: Windows UDP-lek lastig voor hackers
Microsoft heeft tijdens de patchcyclus van november vier lekken verholpen, waaronder één zo ernstig dat een aanvaller door het versturen van UDP-pakketten kwetsbare systemen kan overnemen. De belangrijkste update is Microsoft Security Bulletin MS11-083, voor een lek in TCP/IP, waardoor het uitvoeren van willekeurige code mogelijk is. Door het sturen van een continue stroom van speciaal geprepareerde UDP-pakketten naar een gesloten poort van een systeem, kan een aanvaller een integer overflow veroorzaken en het systeem vervolgens overnemen.
De kwetsbaarheid bevindt zich in Vista, Windows 7 en Serveer 2008 en is zowel een risico voor werkstations als servers. Het lek werd direct aan Microsoft gerapporteerd en er zijn ook nog geen aanwijzingen dat de kwetsbaarheid in het "wild" wordt misbruikt. Die kans acht Microsoft ook zeer klein.
Exploit
"Hoewel het laatste scenario theoretisch tot het op afstand uitvoeren van code kan leiden, denken we dat dit lastig uit te voeren is, gezien het soort netwerkpakketten die bij de perimeter worden gefilterd en het kleine tijdvenster tussen de release en volgende toegang van de structuur, en het grote aantal pakketten dat nodig is om de aanval uit te voeren", zegt Ali Rahbar van het Microsoft Security Response Center.
Microsoft heeft het lek daarom een "Exploitability Index" van "2" toegekend. Dit betekent dat hackers exploitcode kunnen ontwikkelen, maar dat het waarschijnlijk tot "inconsistente resultaten" zal leiden.
Updates
Verder werden deze maand ook lekken in Windows Mail en Windows Meeting, Active Directory en Windows Kernel-Mode Drivers verholpen. Opmerkelijk genoeg krijgt Windows XP deze maand minder updates te verwerken dan Vista en Windows 7.
Een update voor het onlangs onthulde lek in de Windows-kernel, waardoor het Duqu-virus zich verspreidt, is niet uitgekomen, maar dat had Microsoft al aangekondigd. In plaats daarvan kunnen gebruikers een fix downloaden. Het installeren van de nieuwste updates kan via Windows Update of de Automatische Update functie.
Geldt dit ook als die poort dicht is door de Windows firewall?
is er weer een van de reeds ingebouwde backdoors ontdekt?
Omdat er gesproken wordt over een stroom pakketten die een integer kunnen oversteigen gok ik er eerder op dat dat komt vanwege de verwerking van de ICMP response. Deze respons is er niet als er een firewall actief is.
Verder wordt er met geen woord gerept over het wel of niet aan hebben van de firewall. Indien dit probleem ook op zou treden wanneer deze actief is had ik daarvan een melding verwacht.
Er is een groot verschil tussen een dichte poort en een gefirewallde poort. Een dichte UDP poort zal met een ICMP port unreachable reageren, een gefirewallde poort reageert helemaal niet.
Omdat er gesproken wordt over een stroom pakketten die een integer kunnen oversteigen gok ik er eerder op dat dat komt vanwege de verwerking van de ICMP response. Deze respons is er niet als er een firewall actief is.
Verder wordt er met geen woord gerept over het wel of niet aan hebben van de firewall. Indien dit probleem ook op zou treden wanneer deze actief is had ik daarvan een melding verwacht.
Zie http://technet.microsoft.com/en-us/security/bulletin/ms11-083 Onder kopje "Workarounds for Reference Counter Overflow Vulnerability - CVE-2011-2013"
Block unused UDP ports at the perimeter firewall
Blocking unused (closed) UDP ports at the perimeter firewall helps protect systems that are behind that firewall from attempts to exploit this vulnerability. For more information about ports, see the TechNet article, TCP and UDP Port Assignments.
Dreigt haast een semantische discussie te worden zo; De NL-site van Microsoft (lijkt) iets duidelijker....
Ongebruikte UDP-poorten op de firewall blokkeren
Als u ongebruikte (gesloten) UDP-poorten op de firewall blokkeert, worden systemen achter die firewall beschermd tegen pogingen tot misbruik van dit beveiligingslek. Zie het TechNet-artikel TCP and UDP Port Assignments voor meer informatie over poorten. Zie het TechNet-artikel How to Configure Windows Firewall on a Single Computer voor meer informatie over de Windows Firewall.
Waar is het technische bewijs om argumenten te staven in de vorm van bijv:
- ge-re-engineerde "firewall software, Windows Kernels, en TCP-IP stack implementaties?
- Netwerk traffic dumps van de betrokken pc ?
Gokwerk?
http://tools.ietf.org/html/rfc1122#page-77
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.